Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 2월 7일] 주요 보안 이슈
작성일 2020-02-07 조회 546

1. [기사] 윈도우 7 벗어나지 못한 대형 제조사들, 레몬 덕에 감염되고 있다
[https://www.boannews.com/media/view.asp?idx=86202&page=1&kind=1]
프린터, 스마트 TV, 자율주행 차량과 같은 사물인터넷 장비 중 윈도우 7을 기반으로 하는 기계들이 최근 사이버 범죄자들 사이에서 높은 인기를 구가하기 시작했다고 한다. 그러면서 스스로 복제하고 퍼지는 악성코드의 일종인 레몬 덕(Lemon Duck)이 퍼지고 있다는 소식이다. 레몬 덕을 사용해 사물인터넷을 공략하는 사이버 범죄자들의 목표는, 현재로서 사물인터넷 장비를 최대한 많이 수중에 넣고 암호화폐를 채굴하는 것이다. 레몬 덕을 활용한 캠페인 자체는 이전에도 있었지만, 이번 캠페인의 경우 대규모 제조사들에 최대한의 피해를 주려는 목적성을 분명하게 띠고 있다는 차이점이 있다. 공격자들은 윈도우 7에서 발견된 취약점들을 최초 침투를 이뤄내는 데에 활용하며, 주로 서버 메시지 블록(Server Message Block, SMB) 프로토콜을 악용하는 이터널블루(EternalBlue) 익스플로잇이 애용되고 있으나, MySQL 데이터베이스 애플리케이션을 겨냥한 SQL 주입 공격도 만만치 않게 활발히 악용되고 있다.


2. [기사] 사이버 범죄자들이 가장 좋아하는 건 MS의 소프트웨어들
[https://www.boannews.com/media/view.asp?idx=86187&page=1&kind=1]
사이버 범죄자들이 가장 많이 익스플로잇 하는 소프트웨어는 3년 연속 MS가 1위에 등극했다. 이를 조사한 보안 업체 레코디드 퓨처(Recorded Future)에 의하면 주로 피싱 공격, 익스플로잇 키트 활용, 원격 접근 트로이 목마 설치에 취약점들이 활용되고 있다고 한다. 2019년 1위 자리에 오른 취약점은 CVE-2018-15982이며, 어도비 플래시 플레이어에서 발견된 UaF 취약점이다. 그다음으로 많이 익스플로잇 된 소프트웨어는 MS의 인터넷 익스플로러였다. 무려 4개의 IE 취약점이 10위에 이름을 올렸으며, 그중 하나가 윈도우 VB스크립팅 엔진에서 발견된 CVE-2018-8174로 전체 2위를 기록했다. 2019년 최고의 취약점 10개 중 6개는 사실 2018년 최고의 취약점 10개에 포함된 것들이다. 이렇게 몇 년씩이나 같은 취약점이 꾸준히 익스플로잇 되고 있다는 건 그 만큼 패치나 해경이 이뤄지고 있지 않다는 뜻이다. 그러나 다행인 점은 취약점이 발견되자마자 익스플로잇 되고 공격자들의 도구가 되는 경우는 1%도 되지 않기 때문에, 중요한 취약점들부터 찾아내 패치를 빠르게 하면 할수록 많은 해킹 시도를 퇴치할 수 있다.


3. [기사] 망분리까지 무력화시킨다? 시스코가 발표한 패치, 긴급 적용해야
[https://www.boannews.com/media/view.asp?idx=86205&page=1&kind=1]
시스코가 자사 프로토콜에서 발견된 치명적인 취약점 다섯 개를 패치했다. 문제의 프로토콜은 시스코 디스커버리 프로토콜(Cisco Discovery Protocol, CDP)이다. 취약점들을 제일 먼저 발견한 건 보안 업체 아미스(Armis)이며, 이번에 시스코 프로토콜에서 발견된 취약점들을 시디폰(CDPwn)이라고 통칭하고 있다. 공격자들이 시디폰을 익스플로잇 하는 데 성공할 경우, 망분리를 무용지물로 만들고 수백만에 달하는 장비를 원격에서 장악할 수 있게 된다. 다만, 해당 취약점을 익스플로잇하기 위해서는 공격 표적이 된 네트워크에 접근한 상태여야 한다. 네트워크에 접근하는 데 성공한 공격자는 특수하게 조작한 CDP 패킷을 같은 네트워크에 연결된 시스코 장비에 보냄으로써 익스플로잇을 시작할 수 있다. 시디폰 취약점은 총 5개이며, 4개는 코드 실행 취약점(CVE-2020-3118, CVE-2020-3119, CVE-2020-3110, CVE-2020-3111)이고, 1개는 디도스 유발 취약점(CVE-2020-3120)이다. 패치는 이번 주 수요일부터 배포되기 시작했다.


4. [기사] Hacking Wi-Fi networks by exploiting a flaw in Philips Smart Light Bulbs
[https://securityaffairs.co/wordpress/97392/hacking/philips-smart-light-bulbs-hack.html]
Check Point 전문가들은 Philips Hue Smart Light Bulbs에서 표적형 WiFi 네트워크 진입을 위해 이용할 수 있는 높은 심각도의 취약점(CVE-2020-6007)을 발견했다. 스마트 전구는 WiFi 프로토콜 또는 저 대역폭 무선 프로토콜인 ZigBee를 통해 무선으로 관리된다. CVE-2020-6007은 Philips가 스마트 전구에 Zigbee 통신 프로토콜을 구현한 방식에 결함이 있어 힙 기반 버퍼 오버플로우 문제가 발생할 수 있다. 버퍼 오버플로우는“브릿지” 구성 요소에서 발생하며 모바일 앱과 같은 다른 장치에서 Zigbee 프로토콜을 통해 전구로 전송된 원격 명령을 수락한다. 해당 취약점은 1월에 펌웨어 패치가 출시되면서 해결되었다.


5. [기사] Phishing Attack Disables Google Play Protect, Drops Anubis Trojan
[https://www.bleepingcomputer.com/news/security/phishing-attack-disables-google-play-protect-drops-anubis-trojan/]
안드로이드 사용자는 250개 이상의 은행 및 쇼핑 애플리케이션에서 금융 정보를 탈취할 수 있는 Anubis 은행 트로이 목마 피싱 캠페인에 타깃이 되었다. 악성코드를 유포하기 위해서 악성 링크를 포함한 피싱 메일을 전송했다. 해당 악성코드는 주로 은행 및 금융 응용 프로그램을 대상으로 하지만, eBay나 Amazon과 같은 인기 있는 쇼핑 앱도 찾는다. 그리고 애플리케이션이 확인되면, Anubis는 사용자의 자격 증명을 탈취하기 위해 원본 애플리케이션과 가짜 로그인 페이지를 겹친다. 또한, 스크린숏 캡처, 오디오 녹음, 전화 발신 및 SNS 전송 등의 기능이 포함되어 있으며, C2 명령을 통해 키로깅 모듈을 공격자가 활성화 시킬 수 있다. 이 외에도 Anubis는 전용 랜섬웨어 모듈을 사용하여 내부 스토리지 및 외부 드라이브의 파일을 RC4 스트림 암호를 사용하여 암호화할 수 있으며, .AnubisCrypt 확장자를 추가하고 C2로 전송한다.

첨부파일 첨부파일이 없습니다.
태그 Lemon Duck  CDPwn  CVE-2020-6007  Anubis